Noll
En sårbarhet har upptäckts i Googles Android-operativsystem som kan möjliggöra cyberattackers att i hemlighet fånga Wi-Fi sända uppgifter för att kunna spåra användare.
På onsdag, forskare från Nattvakten Cybersäkerhet sade i ett säkerhetsmeddelande att felet, CVE-2018-9489, upptäcktes i operativsystemet communication management programmering.
Nattvakten Cybersäkerhet forskare Yakov Shafranovich sa att Android-enheter sända information om användarens enhet till applikationer som körs på systemet. Denna information kan innefatta Wi-Fi-nätverkets namn, BSSID, lokala IP-adresser, DNS-server data-och MAC-adresser — även om den senare har dolts via Api: er i Android version 6 och högre.
Genom att lyssna till dessa data strömmar, apps kan fånga information, ofta för legitima syften.
Men när oseriösa program avlyssna, detta kan leda till att känsliga uppgifter röjs och angripare kan attackera lokala Wi-Fi-nätverk eller använda MAC-adresser för att spåra unika Android-enheter.
Det är också möjligt att geotrack användare via nätverket namn och BSSID med hjälp av databasen uppslag.
“Medan funktionalitet finns för att begränsa vilka som har rätt att läsa sådana meddelanden, applikationsutvecklare ofta försummar att genomföra dessa begränsningar ordentligt eller mask känsliga uppgifter,” forskaren säger. “Detta leder till en gemensam sårbarhet inom Android-program där ett skadligt program som körs på samma enhet kan spionera på och fånga upp meddelanden som sänds av andra program.”
TechRepublic: Android Paj: Cheat sheet
Android använder sig av “väsentligt” för inter-process information tillsammans med ett antal behörigheter som skydd mot avlyssning eller för informationsläckage.
OS använder två avseenden för att sända information system-wide. Intentioner är WifiManager “Nätverk tillstånd ändras action” och WifiP2pManager “Wi-Fi P2P denna enhet ändras åtgärder.”
Tillämpningar kan utnyttja denna information på användarens enhet och när den öppnas genom WifiManager, “Tillgång till wi-fi trådlöst Lan stat” tillstånd är vanligtvis krävs. Tillgång till geografisk lokalisering kräver normalt antingen “tillgång fina läge” eller “tillgång grova läge” behörigheter.
Se även: Android 9 Paj: Nya funktioner, release datum, och allt du behöver veta
Men när en ansökan är att helt enkelt lyssna till systemet sändningar, behörigheter som krävs för kringgås, vilket kan göra att oseriösa och skadliga program för att fånga denna information utan användarens vetskap.
“Eftersom MAC-adresser ändras inte och är bunden till hårdvaran, detta kan användas för att identifiera och spåra alla Android-enhet även när MAC-adress randomisering används,” Shafranovich sagt. “Nätverkets namn och/eller BSSID kan användas för att geotagga användare via en sökning mot en databas som WiGLE eller SkyHook.”
Teamet testat en mängd olika Android-enheter, som alla uppvisade samma beteende. Dock, i vissa fall, äkta MAC-adressen inte visas i “Nätverket tillstånd ändras åtgärder,” uppsåt, utan var tillgängliga via “Wi-Fi P2P denna enhet ändras åtgärder,” avsikt.
Alla versioner av Android, inklusive OS gafflar, till exempel Amazons Kindle FireOS — tros vara drabbade, potentiellt påverka miljontals användare.
It-företaget först rapporterade sitt fynd till Google i Mars. Enligt en undersökning som tog flera månader, en CVE-nummer har tilldelats sårbarhet och Google utvecklat en korrigering i juli.
Plåstret bekräftades i början av augusti, vilket leder till offentliggörande av sårbarhet.
CNET: Pixel 3 och Pixel 3 XL: Ryktas specifikationer, funktioner, läckage, pris, release datum
Google har fast säkerhetsbrist i den senaste versionen av operativsystemet Android, Android-S, även känd som Android 9 Paj.
Dock tech jätten kommer inte att fixa tidigare versioner av Android som att lösa säkerhetsproblemet “skulle vara att bryta API förändring”, enligt it-företag.
Tidigare denna månad, Google lanserar Android 9 Paj, som redan rullar ut till Android-användare på vissa enheter.
Android-enheter som tillverkas av leverantörer inklusive Nokia, Xiaomi, och Sony kommer att få den uppdaterade OS i slutet av hösten. Uppdateringen innehåller nya gest navigering, teman och anpassningsbara inställningar för ljusstyrka och livslängd, bland andra.
Användare har möjlighet att uppgradera till Android 9 uppmuntras att göra så.
ZDNet har nått ut till Google med ytterligare frågor och kommer att uppdatera om vi hör av sig igen.
Tidigare och relaterade täckning
Uppfyller skadlig kod som kapar din webbläsare och omdirigerar dig till falska sidor som Facebook patchar av kritisk server fjärrkörning av kod WhatsApp varnar gratis Google Drive säkerhetskopior är inte end-to-end krypterad
Relaterade Ämnen:
Rörlighet
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0